Photo: methodshop, Pixabay

Timeline คร่าวๆ

เมื่อวันที่ 4 กรกฎาคม 2561 ที่ผ่านมา ทาง Integrated Health Information Systems (IHIS) ซึ่งเป็นหน่วยงานของรัฐด้านไอทีที่เกี่ยวกับสาธารณสุขของสิงคโปร์ อยู่ในสังกัดของกระทรวงสาธารณสุข (MOH) ของประเทศสิงคโปร์ ตรวจพบความผิดปกติในระบบของ SingHealth จึงเพิ่มมาตรการความปลอดภัยและเริ่มตรวจสอบ

หลังจากนั้นเมื่อวันที่ 10 กรกฎาคม 2561 การตรวจสอบยืนยันว่าความผิดปกติที่พบเป็นการโจมตีของแฮกเกอร์ (Cyber Attack) โดยมีการขโมยข้อมูลผู้ป่วยเกิดขึ้นตั้งแต่วันที่ 27 มิถุนายน ถึง 4 กรกฎาคม 2561

12 กรกฎาคม 2561 SingHealth ได้แจ้งความกับตำรวจเป็นที่เรียบร้อย

ผลกระทบที่เกิดขึ้น

โดยผู้ป่วยที่ได้รับผลกระทบ คือ ผู้ป่วยในสิงคโปร์ราว 1,500,000 คน ที่เคยเข้ารับบริการที่ Specialist Outpatient Clinics และ Polyclinics ของ SingHealth ตั้งแต่ 1 พฤษภาคม 2558 ถึง 4 กรกฎาคม 2561

ส่วนข้อมูลที่ถูกขโมยไป คือ ข้อมูล Demographics ได้แก่ ชื่อ, หมายเลขบัตรประจำตัวประชาชน (National Registration Identity Card หรือ NRIC Number), ที่อยู่, เพศ, วันเกิด

แต่ในบรรดาข้อมูล 1,500,000 คนนี้ มีข้อมูลของผู้ป่วยราวๆ 160,000 คน (ซึ่งรวมถึงนายกรัฐมนตรีสิงคโปร์ 'ลี เซียนลุง') ถูกขโมยข้อมูลการสั่งยาจาก OPD ไปด้วย

แต่ข้อมูลอื่นๆ เช่น การวินิจฉัยโรค ผลการตรวจทางห้องปฏิบัติการ หรือบันทึกของแพทย์ (นอกเหนือจาก Demographics และข้อมูลยา) ไม่ถูกขโมยไปด้วย และไม่มีการแก้ไขข้อมูลประวัติผู้ป่วยในระบบ รวมทั้งไม่ส่งผลทำให้ระบบใช้งานไม่ได้ จึงไม่กระทบต่อการให้บริการผู้ป่วย

รายละเอียดเชิงเทคนิค

Photo: methodshop, Pixabay

รายงานระบุว่า การโจมตีครั้งนี้มีเจตนาขโมยข้อมูลของนายกรัฐมนตรีสิงคโปร์โดยตรง โดยเป็นการโจมตีที่จำเพาะเจาะจงและทำซ้ำหลายครั้ง จึงเชื่อว่า Hacker มีความชำนาญสูง และน่าจะมีทรัพยากรสนับสนุนมากพอสมควร

จากรายงานข่าวระบุว่า มีการใช้การโจมตีในรูปแบบที่ชื่อว่า Advanced Persistent Threat (APT) ที่ Hacker สามารถแฮ็กเครื่อง Front-End Workstation หน้างาน จากนั้นจึงใช้เครื่องดังกล่าวหาทางเข้าถึงฐานข้อมูลกลางใน Server ที่มีข้อมูลผู้ป่วย จนสามารถขโมยข้อมูลส่วนบุคคลดังกล่าวได้

ซึ่งเป็นอาชญากรรมทางคอมพิวเตอร์ประเภทหนึ่งมีเป้าหมายเพื่อโจมตีหน่วยงานที่มีข้อมูลสำคัญ โดยผู้ที่แฮกเกอร์นั้นจะเป็นรัฐบาลของประเทศใดประเทศหนึ่งและใช้เครื่องมือที่มีความก้าวหน้าอย่างมาก

ความท้าทายที่ไม่อาจถอยกลับไปจุดเดิม

การโจมตีครั้งนี้ ท้าทายสิงคโปร์เป็นอย่างมาก เพราะสิงคโปร์เป็นประเทศมีการเชื่อมต่อกันทั้งในประเทศและระหว่างประเทศอย่างกว้างขวาง รวมถึงได้มีการประกาศขับเคลื่อนไปสู่การเป็นรัฐบาลดิจิทัลของข้อมูลและการบริการต่างๆ เช่น อนุญาตให้โรงพยาบาลรัฐและคลินิกสามารถแชร์ข้อมูลทางสุขภาพของคนไข้ร่วมกันได้ผ่านฐานข้อมูลส่วนกลาง

แม้สิงคโปร์จะเป็นประเทศที่มีกองทัพที่ทันสมัยสุดประเทศหนึ่งในภูมิภาคนี้ แต่รัฐบาลสิงคโปร์ก็ยอมรับว่า ต้องรับมือกับการโจมตีทางไซเบอร์นับพันครั้งต่อวัน ซึ่งมีตั้งแต่ Hacker ระดับมือสมัครเล่นไปจนถึงระดับมืออาชีพที่ได้รับการสนับสนุนด้วย

และการโจมตีทางไซเบอร์ครั้งใหญ่นี้อาจทำให้สิงคโปร์เสียหน้า แต่นายกฯ ลี เซียนลุง บอกผ่าน Facebook ส่วนตัวว่า “We cannot go back to paper records and files. We have to go forward, to build a secure and smart nation.”

แปลเป็นไทยก็คือ... ถึงอย่างไรเราก็จะไม่กลับไปหาการบันทึกด้วยกระดาษและแฟ้มแล้ว เราต้องเดินหน้า สร้างความมั่นคงปลอดภัย และสร้าง Smart Nation ให้เกิดขึ้นต่อไป

อ้างอิงข้อมูลจาก Lee Hsien Loong Facebook Page, StraitsTimes (1) (2), ChannelNewsAsia และ TodayOnline

สิ่งที่ Healthcare Sector ไทยควรเรียนรู้

นพ.นวนรรน ธีระอัมพรพันธุ์ อาจารย์ภาควิชาเวชศาสตร์ชุมชน คณะแพทยศาสตร์โรงพยาบาลรามาธิบดี มหาวิทยาลัยมหิดล ในฐานะนักสารสนเทศสุขภาพ ให้ความเห็นผ่าน Facebook ต่อการที่ SingHealth ถูกแฮ็กไว้อย่างน่าสนใจดังนี้

• ควรตระหนักว่า ข้อมูลด้านสุขภาพของบุคคล (Personal Health Information) เป็นข้อมูล Sensitive ที่ Hacker อาจพยายามหาทางขโมยข้อมูล
• เป้าหมายการโจมตี มีทั้งการขโมยความลับ (Confidentiality) การลักลอบแก้ไขข้อมูล (Integrity) และการทำให้ระบบขัดข้อง (Availability) โดยอาจหวังผลทั้งในเรื่องประโยชน์ส่วนตน หรือความพยายาม Discredit หรือสร้างความไม่น่าเชื่อถือกับระบบหรือองค์กรที่เกี่ยวข้อง และอาจเป็นการโจมตีที่เพ่งเล็งเหยื่ออย่างจำเพาะเจาะจง หรือกระทบบุคคลจำนวนมากก็ได้
• เราอาจไม่สามารถป้องกันการโจมตีได้ทั้งหมด แต่ความพยายามป้องกัน (Preventive Measures) โดยใช้หลากหลายมาตรการควบคู่กัน (Defense in Depth) ยังคงมีความสำคัญ ในขณะที่การเฝ้าระวังเพื่อตรวจพบการโจมตี (Detective Measures) การเตรียมพร้อมรับมือกับการโจมตี (Preparedness) และความสามารถในการปรับตัวกับภัยคุกคาม (Resilience) มีความสำคัญอย่างมาก

คำแนะนำสำหรับ Healthcare Sector ไทย

นอกจากนี้ นพ.นวนรรน ยังให้คำแนะนำแก่ Healthcare Sector ไทย ไว้ดังนี้

• เนื่องจากยังไม่ทราบตัวผู้โจมตี จึงอาจคาดเดาเจตนาที่แท้จริงได้ยาก จึงประเมินลำบากว่า มีโอกาสเกิดการโจมตีในลักษณะเดียวกันใน Healthcare Sector ของไทย ซึ่งอยู่ในภูมิภาคเดียวกัน ในอนาคตอันใกล้หรือไม่ หน่วยงานต่างๆ จึงควรเฝ้าระวังภัยคุกคามและหาทางป้องกันและเตรียมพร้อมรับมือในส่วนที่ทำได้ อย่างไรก็ตาม ยังไม่มี Specific & Credible information ว่าจะมีการโจมตีในไทย
• หน่วยงานต่างๆ ใน Healthcare Sector (ทั้งสถานพยาบาลของรัฐและเอกชนต่างๆ กองทุนประกันสุขภาพ หน่วยงาน Clearing House หน่วยงานในกระทรวงสาธารณสุขทั้งส่วนกลางและส่วนภูมิภาค ตลอดจนหน่วยงานอื่นๆ ที่มีข้อมูลสุขภาพของผู้ป่วย) ควรพิจารณายกระดับการเฝ้าระวังการโจมตี (Monitoring) ในระยะ 1-2 เดือนนี้, ทบทวนมาตรการรักษาความมั่นคงปลอดภัย โดยเฉพาะการเข้าถึงระบบเครือข่ายจากภายนอก ภัยจากมัลแวร์ รหัสผ่านหรือกลไกการยืนยันตัวตนของผู้ใช้งาน พฤติกรรมเสี่ยงของผู้ใช้งาน การเข้าถึงฐานข้อมูลสำคัญบน Server รวมทั้งการวางแผนเตรียมการรับมือทั้งด้านการสอบสวน (Investigations), การแก้ไขปัญหา (Corrective Actions) และการสื่อสาร (Crisis Communication Management) หากมี Incident เกิดขึ้นกับหน่วยงานของตน
• หากเกิดเหตุขึ้นหรือมีข้อสงสัย ควรพิจารณาประสานงาน ขอความช่วยเหลือ และแจ้งข้อมูลกับหน่วยงานที่เกี่ยวข้อง เช่น ThaiCERT (โทร. 0-2123-1212) หน่วยงานของต้นสังกัดที่กำกับดูแลงานด้าน IT หรือ Community ของ Cybersecurity ใน Healthcare Sector ต่อไป